0

0

NTP 放大攻击的 iptables -p udp --dport 123 -m u32 过滤规则

舞姬之光

舞姬之光

发布时间:2026-02-26 17:11:02

|

324人浏览过

|

来源于php中文网

原创

仅用-p udp --dport 123无法防御ntp放大攻击,因该规则只匹配端口不检查udp载荷;必须结合u32模块检测ntp报文mode字段(偏移6字节),拦截mode非3/4的非法请求,且规则须置于input链前端。

ntp 放大攻击的 iptables -p udp --dport 123 -m u32 过滤规则

为什么 --dport 123 单独拦不住 NTP 放大攻击

因为攻击者根本不用标准 NTP 请求格式——他们发的是伪造源 IP 的 UDP 包,目标端口确实是 123,但 payload 是恶意构造的(比如 \x00\x00\x00\x00\x00\x00\x00\x00 或更长的 monlist 请求),NTP 服务端一响应就放大数倍。只靠 -p udp --dport 123 只能匹配端口,完全不检查内容,等于给放大器开了大门。

必须用 u32 模块对 UDP payload 做粗筛,把明显非法的请求在内核层面丢掉,避免进用户态 NTP 进程。

  • u32 规则要放在 INPUT 链靠前位置,越早匹配丢包,CPU 和带宽浪费越少
  • 别在 FORWARDOUTPUT 链加这条规则——NTP 放大是入向流量触发的
  • Linux 内核需 ≥ 2.6.18 才默认支持 u32,老系统先确认 lsmod | grep u32

u32 怎么写才能拦住常见 NTP 放大载荷

核心思路:NTP 查询报文前 4 字节是 LI VN Mode 字段,合法查询中 Mode 应为 3(client)或 4(symmetric active)。而大多数放大攻击(如 monlist、readvar)会把 Mode 设为 0–2 或 6–7,或者干脆填 0 填满整个包。用 u32 提取并判断这个字节最有效。

典型规则示例(拦截 Mode 非 3/4 的所有 NTP 请求):

Emergent Drums
Emergent Drums

使用Emergent Drums生成独特的鼓样本,全部免版税。

下载
iptables -A INPUT -p udp --dport 123 -m u32 --u32 "6&0x7C=0x0 || 6&0x7C=0x4 || 6&0x7C=0x8 || 6&0x7C=0xC || 6&0x7C=0x10 || 6&0x7C=0x14 || 6&0x7C=0x18 || 6&0x7C=0x1C" -j DROP

说明:6&0x7C 表示从第 6 字节开始取低 6 位(即 Mode 字段),合法值只有 0x0(0)、0x4(1)、0x8(2)、0xC(3)、0x10(4)……但实际只需保留 0xC(3)和 0x10(4)即可,其余全拦。更精简写法:

iptables -A INPUT -p udp --dport 123 -m u32 --u32 "6&0x7C!=0xC && 6&0x7C!=0x10" -j DROP
  • 注意字节偏移:UDP 头 8 字节 + IP 头最小 20 字节 = 第 28 字节才是 UDP payload 起始;但 u32 默认从 IP 头起算,所以 NTP payload 起始是 28+8=36?错——u32 的 offset 是从 IP 包头开始的「字节偏移」,而 NTP 报文在 UDP payload 里,所以是 20(IP头)+8(UDP头)=28,第 28 字节是 UDP payload 第一个字节,NTP 的 LI VN Mode 就在那,即 offset 28。但实测主流内核中 u32 对 UDP 匹配时,常以 6 为 offset,这是因为它自动跳过了 IP+UDP 头(依赖内核 netfilter 的解析逻辑),不是绝对偏移。稳妥做法是用 tcpdump -i any -nn -X port 123 抓包确认真实 payload 偏移
  • 如果 NTP 服务启用了 IPv6,这条规则无效——u32ip6tables 中不支持,得换用 ipset 或用户态限速
  • 别用 --u32 "0>>22&0x3C@12>>26&0x3F=0x17" 这类复杂匹配——可读性差,且不同内核版本对 @ 符号解析可能有差异

这条规则上线前必须验证的三件事

没验证就上生产,大概率要么拦不住攻击,要么把正常 NTP 客户端全干掉。

  • 先用 iptables -L INPUT -v -n 看规则是否加载成功,计数器是否随测试包增长
  • echo -ne '\x17\x00\x00\x00' | nc -u target_ip 123 模拟 Mode=0 的恶意包,确认被 DROP;再用 ntpdate -q target_ipntpq -p 测试合法 client 查询是否仍通
  • 检查 /var/log/messagesdmesg 是否有 u32: invalid rulenf_u32: unknown key 报错——常见于内核模块未加载或规则语法括号不匹配

比 iptables 更靠谱的长期方案是什么

iptables + u32 是应急止血,不是根治。NTP 放大本质是服务配置缺陷:公开暴露的 ntpd 默认允许 monlist、readvar 等高危命令,且不校验源地址。真正该做的优先级是:

  • 升级到 ntpd 4.2.8p10+ 或改用 chrony,两者默认禁用 monlist 且支持 restrict default noquery
  • ntp.conf 里明确写 restrict default kod nomodify notrap nopeer noquery,再单独放开可信网段
  • 云环境直接关掉公网 123 端口,让 NTP 流量走 VPC 内网或使用云厂商提供的 NTP 服务(如 AWS Time Sync)

u32 规则容易写错偏移、难调试、IPv6 无解——它只是给运维多争取几小时修复窗口,别当成永久防线。

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
default gateway怎么配置
default gateway怎么配置

配置default gateway的步骤:1、了解网络环境;2、获取路由器IP地址;3、登录路由器管理界面;4、找到并配置WAN口设置;5、配置默认网关;6、保存设置并退出;7、检查网络连接是否正常。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

233

2023.12.07

点击input框没有光标怎么办
点击input框没有光标怎么办

点击input框没有光标的解决办法:1、确认输入框焦点;2、清除浏览器缓存;3、更新浏览器;4、使用JavaScript;5、检查硬件设备;6、检查输入框属性;7、调试JavaScript代码;8、检查页面其他元素;9、考虑浏览器兼容性。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

195

2023.11.24

li是什么元素
li是什么元素

li是HTML标记语言中的一个元素,用于创建列表。li代表列表项,它是ul或ol的子元素,li标签的作用是定义列表中的每个项目。本专题为大家li元素相关的各种文章、以及下载和课程。

436

2023.08.03

tcp和udp的区别
tcp和udp的区别

TCP和UDP的区别,在连接性、可靠性、速度和效率、数据报大小以及适用场景等方面。本专题为大家提供tcp和udp的区别的相关的文章、下载、课程内容,供大家免费下载体验。

123

2023.07.25

udp是什么协议
udp是什么协议

UDP是OSI参考模型中一种无连接的传输层协议。本专题为大家带来udp是什么协议的相关文章,免费提供给大家。

301

2023.08.08

tcp和udp有什么区别
tcp和udp有什么区别

tcp和udp的区别有:1、udp是无连接的,tcp是面向连接的;2、udp是不可靠传输,tcp是可靠传输;3、udp是面向报文传输,tcp是面向字节流传输。想了解更多tcp相关的内容,可阅读本专题下面的相关文章。

397

2024.11.14

磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1541

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

715

2023.06.29

Golang 实际项目案例:从需求到上线
Golang 实际项目案例:从需求到上线

《Golang 实际项目案例:从需求到上线》以真实业务场景为主线,完整覆盖需求分析、架构设计、模块拆分、编码实现、性能优化与部署上线全过程,强调工程规范与实践决策,帮助开发者打通从技术实现到系统交付的关键路径,提升独立完成 Go 项目的综合能力。

1

2026.02.26

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号